–

UZ vārdā – J. Leuschner, Rechtsanwalt,

–

Vācijas valdības vārdā – J. Möller un P.‑L. Krüger, pārstāvji,

–

Čehijas Republikas valdības vārdā – O. Serdula, M. Smolek un J. Vláčil, pārstāvji,

–

Francijas valdības vārdā – A.‑L. Desjonquères un J. Illouz, pārstāvji,

–

Austrijas valdības vārdā – A. Posch, kā arī M.‑T. Rappersberger un J. Schmoll, pārstāvji,

–

Polijas valdības vārdā – B. Majczyna, pārstāvis,

–

Eiropas Komisijas vārdā – A. Bouchagiar, F. Erlbacher un H. Kranenborg, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., labojums – OV 2018, L 127, 2. lpp.; turpmāk tekstā – “VDAR”) 5. pantu, 17. panta 1. punkta d) apakšpunktu un 18. panta 1. punkta b) apakšpunktu, kā arī tās 26. un 30. pantu.

2

Šis lūgums ir iesniegts saistībā ar tiesvedību starp trešās valsts valstspiederīgo UZ un Bundesrepublik Deutschland (Vācijas Federatīvā Republika), ko pārstāv Bundesamt für Migration und Flüchtlinge (Federālā migrācijas un bēgļu lietu pārvalde, Vācija; turpmāk tekstā – “Federālā pārvalde”) par šī valstspiederīgā iesniegtā starptautiskās aizsardzības pieteikuma izskatīšanu.

3

Eiropas Parlamenta un Padomes Direktīvas 2013/32/ES (2013. gada 26. jūnijs) par kopējām procedūrām starptautiskās aizsardzības statusa piešķiršanai un atņemšanai (pārstrādātā versija) (OV 2013, L 180, 60. lpp.) 52. apsvērums ir formulēts šādi:

“Personas datu apstrāde, ko dalībvalstīs veic saskaņā ar šo direktīvu, tiek reglamentēta ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti [(OV 1995, L 281, 31. lpp.)].”

4

VDAR 1., 10., 40., 74., 79. un 82. apsvērums ir formulēts šādi:

[..]

[..]

[..]

[..]

[..]

5

VDAR I nodaļā “Vispārīgi noteikumi” ir ietverts 1.–4. pants.

6

Atbilstoši šīs regulas 1. pantam “Priekšmets un mērķi”:

“1.   Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.

2.   Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.

[..]”

7

Minētās regulas 4. panta “Definīcijas” 2., 7. un 21. punktā ir noteikts:

[..]

[..]

[..].”

8

VDAR II nodaļā “Principi” ir ietverts tās 5.–11. pants.

9

VDAR 5. pantā “Personas datu apstrādes principi” ir noteikts:

“1.   Personas dati:

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

10

Šīs regulas 6. panta “Apstrādes likumīgums” 1. punktā ir paredzēts:

“Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.”

11

VDAR 7. pants attiecas uz nosacījumiem, kas piemērojami piekrišanai, savukārt šīs regulas 8. pantā ir paredzēti nosacījumi, kas piemērojami bērnu piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem.

12

Šīs regulas 9. pantā “Īpašu kategoriju personas datu apstrāde” ir aizliegta tādu personas datu apstrāde, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

13

Minētās regulas 10. pants “Personas datu par sodāmību un pārkāpumiem apstrāde” attiecas uz personas datu apstrādi par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz šīs pašas regulas 6. panta 1. punktu.

14

VDAR III nodaļā “Datu subjekta tiesības” ir ietverts 12.–23. pants.

15

Šīs regulas 17. pants “Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)” ir formulēts šādi:

“1.   Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

[..]

[..].

3.   Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:

[..]

[..]

16

Saskaņā ar minētās regulas 18. pantu “Tiesības ierobežot apstrādi”:

“1.   Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja ir viens no šādiem apstākļiem:

[..]

[..].

2.   Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.

[..]”

17

VDAR IV nodaļā “Pārzinis un apstrādātājs” ir ietverts 24.–43. pants.

18

Šīs nodaļas 1. iedaļā “Vispārīgi pienākumi” ietvertais 26. pants “Kopīgi pārziņi” ir formulēts šādi:

“1.   Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus, lai izpildītu šajā regulā uzliktās saistības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 13. un 14. pantā minēto informāciju; pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.

2.   Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam.

3.   Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini.”

19

Minētās regulas 30. pantā “Apstrādes darbību reģistrēšana” ir paredzēts:

“1.   Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

[..].

4.   Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

[..]”

20

VDAR VI nodaļā “Neatkarīgas uzraudzības iestādes” ietilpstošā 58. panta “Pilnvaras” 2. punktā ir noteikts:

“Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

21

Šīs regulas VIII nodaļā “Tiesību aizsardzības līdzekļi, atbildība un sankcijas” ir ietverts tās 77.–84. pants.

22

Minētas regulas 77. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā ir noteikts:

“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.”

23

VDAR 82. panta “Tiesības uz kompensāciju un atbildība” 1. un 2. punktā ir noteikts:

“1.   Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2.   Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.”

24

Šīs regulas 83. panta “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” 4., 5. un 7. punktā ir paredzēts:

“4.   Administratīvus naudas sodus apmērā līdz 10000000 EUR, vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

[..].

5.   Administratīvus naudas sodus apmērā līdz 20000000 EUR, vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

[..].

7.   Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.”

25

Minētās regulas XI nodaļā “Nobeiguma noteikumi” ietvertajā 94. pantā “Direktīvas 95/46/EK atcelšana” ir noteikts:

“1.   Direktīvu 95/46/EK atceļ no 2018. gada 25. maija.

2.   Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas 95/46] 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu.”

26

1990. gada 20. decembraBundesdatenschutzgesetz (Federālais datu aizsardzības likums; BGBl. 1990 I, 2954. lpp.), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “BDSG”), 43. panta “Noteikumi par administratīviem naudas sodiem” 3. punktā ir noteikts:

“Valsts iestādēm vai citām publiskām struktūrām [BDSG] 2. panta 1. punkta izpratnē nedrīkst uzlikt administratīvus naudas sodus.”

27

2019. gada 7. maijā prasītājs pamatlietā Federālajā pārvaldē iesniedza starptautiskās aizsardzības pieteikumu, kuru tā noraidīja.

28

Lai pieņemtu lēmumu par noraidīšanu (turpmāk tekstā – “apstrīdētais lēmums”), Federālā pārvalde balstījās uz tās sagatavotajiem elektroniskajiem lietas materiāliem “MARIS”, kuros bija ietverti prasītāja pamatlietā personas dati.

29

Pēdējais minētais cēla prasību par apstrīdēto lēmumu Verwaltungsgericht Wiesbaden (Vīsbādenes Administratīvā tiesa, Vācija), kas ir iesniedzējtiesa šajā lietā. Pēc tam elektroniskie lietas materiāli “MARIS” tika nosūtīti šai tiesai kopīgā procedūrā saskaņā ar VDAR 26. pantu, izmantojot tiesu un administrāciju elektronisko pastkasti (Elektronisches Gerichts‑ und Verwaltungspostfach), kuru pārvalda publiska iestāde, kas ietilpst izpildvarā.

30

Iesniedzējtiesa norāda, ka no Direktīvas 2013/32 52. apsvēruma izriet, ka personas datu apstrādi, ko dalībvalstis veic starptautiskās aizsardzības piešķiršanas procedūrās, reglamentē VDAR.

31

Tomēr šai tiesai ir šaubas par to, vai Federālās pārvaldes sagatavoto elektronisko lietas materiālu glabāšana un šo lietas materiālu nosūtīšana, izmantojot tiesu un administrāciju elektronisko pastkasti, atbilst šai regulai.

32

Pirmkārt, attiecībā uz elektronisko lietas materiālu reģistra uzturēšanu neesot pierādīts, ka Federālā pārvalde ievēro VDAR 5. panta 1. punktu kopsakarā ar 30. pantu. Proti, neraugoties uz iesniedzējtiesas šajā ziņā izteikto lūgumu, Federālā pārvalde neesot iesniegusi pilnīgu apstrādes darbību reģistru attiecībā uz šiem lietas materiāliem. Šāds reģistrs esot bijis jāizveido prasītāja pamatlietā personas datu apstrādes brīdī, proti, kad viņš iesniedza starptautiskās aizsardzības pieteikumu. Jautājums par Federālās pārvaldes atbildību saskaņā ar VDAR 5. panta 2. punktu būtu jāizskata pēc tam, kad Tiesa būs pieņēmusi nolēmumu par šo lūgumu sniegt prejudiciālu nolēmumu.

33

Otrkārt, elektronisko lietas materiālu nosūtīšana, izmantojot tiesu un administrāciju elektronisko pastkasti, esot datu “apstrāde” VDAR 4. panta 2. punkta izpratnē, kurai ir jāatbilst šīs regulas 5. pantā noteiktajiem principiem. Tomēr, neraugoties uz minētās regulas 26. pantu, nav valsts tiesību normu, kas regulētu šo nosūtīšanas procedūru starp pārvaldes iestādēm un tiesām, nosakot kopīgo pārziņu attiecīgos pienākumus, un Federālā pārvalde nav sagatavojusi attiecīgu vienošanos, lai gan iesniedzējtiesa bija lūgusi to darīt. Tādējādi iesniedzējtiesai rodas jautājums par šīs datu pārsūtīšanas, izmantojot tiesu un administrāciju elektronisko pastkasti, likumību.

34

Iesniedzējtiesa it īpaši uzskata, ka ir jāpārbauda, vai par VDAR 5., 26. un 30. pantā paredzēto pienākumu neizpildi, no kuras izriet šo datu apstrādes nelikumība, ir jāpiemēro sods, dzēšot šos datus saskaņā ar šīs regulas 17. panta 1. punkta d) apakšpunktu vai ierobežojot to apstrādi saskaņā ar minētās regulas 18. panta 1. punkta b) apakšpunktu. Šādas sankcijas būtu jāparedz vismaz gadījumā, ja datu subjekts to lūdz. Pretējā gadījumā šī tiesa būtu spiesta piedalīties minēto datu nelikumīgā apstrādē tiesvedības ietvaros. Šādā gadījumā, piemērojot VDAR 58. pantu, tikai uzraudzības iestāde varētu iejaukties, uzliekot attiecīgajām publiskajām iestādēm administratīvo naudas sodu saskaņā ar šīs regulas 83. panta 5. punkta a) apakšpunktu. Tomēr saskaņā ar BDSG 43. panta 3. punktu, ar kuru ir transponēts minētās regulas 83. panta 7. punkts, valsts līmenī valsts iestādēm un citām publiskām struktūrām nevar uzlikt administratīvus naudas sodus. No tā izrietot, ka netiks ievērota ne Direktīva 2013/32, ne VDAR.

35

Turklāt iesniedzējtiesa uzskata, ka uz pamatlietā aplūkoto apstrādi neattiecas VDAR 17. panta 3. punkta e) apakšpunkts, ar ko ir atļauts izmantot personas datus, lai atbildētājs varētu celt, īstenot vai aizstāvēt savas tiesības tiesā. Protams, šajā gadījumā Federālā pārvalde datus izmantotu, lai saskaņā ar šīs regulas 17. panta 3. punkta b) apakšpunktu izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu. Tomēr, ja šis noteikums tiktu piemērots, tas pastāvīgi legalizētu praksi, kas ir pretrunā tiesību aktiem par datu aizsardzību.

36

Līdz ar to šī tiesa jautā, cik lielā mērā tā savas tiesvedības ietvaros var izmantot personas datus, kas ir sniegti šādā procedūrā, kura ir saistīta ar izpildvaru. Proti, ja elektronisko lietas materiālu glabāšana vai to nosūtīšana, izmantojot tiesu un administrāciju elektronisko pastkasti, būtu jākvalificē kā nelikumīga apstrāde saskaņā ar VDAR, minētā tiesa ar šādu izmantošanu piedalītos attiecīgajā nelikumīgajā apstrādē, kas būtu pretrunā šīs regulas mērķim aizsargāt fizisku personu pamattiesības un pamatbrīvības un it īpaši viņu tiesības uz personas datu aizsardzību.

37

Šajā ziņā iesniedzējtiesa arī jautā, vai apstāklis, ka datu subjekts ir devis skaidru piekrišanu vai iebilst pret savu personas datu izmantošanu tiesvedībā, var ietekmēt iespēju šos datus izmantot. Gadījumā, ja šī tiesa nevarētu izmantot elektroniskajos lietas materiālos “MARIS” ietvertos datus nelikumību dēļ, kas pieļautas šo lietas materiālu reģistrēšanā un nosūtīšanā, līdz šo nelikumību iespējamai novēršanai nebūtu nekāda juridiska pamata pieņemt lēmumu par prasītāja pamatlietā pieteikumu piešķirt viņam bēgļa statusu. Līdz ar to minētajai tiesai apstrīdētais lēmums būtu jāatceļ.

38

Šādos apstākļos Verwaltungsgericht Wiesbaden (Vīsbādenes Administratīvā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

39

Formāli neizvirzot iebildi par nepieņemamību, Vācijas valdība pauž šaubas par prejudiciālo jautājumu nozīmīgumu pamatlietas atrisināšanai. Visupirms – no iesniedzējtiesas nolēmuma izrietot, ka Federālās pārvaldes pieļautais VDAR 5. panta 2. punkta pārkāpums nav galīgi pierādīts un iesniedzējtiesa tikai pieņem, ka tā ir. Turpinājumā šī tiesa neesot norādījusi, ka Federālās pārvaldes lietas materiāli – pieņemot, ka tai nav tiesību tos lietot, – ir vienīgie, kam ir nozīme šī strīda atrisināšanai. Tās rīcībā esot arī citi informācijas avoti, kuri saskaņā ar izmeklēšanas pēc savas ierosmes principu būtu pilnībā jāizmanto, ja iestāde neiesniedz lietas materiālus vai ja tie ir nepilnīgi. Visbeidzot, trešais jautājums esot acīmredzami hipotētisks, jo no lūguma sniegt prejudiciālu nolēmumu neizrietot, ka prasītājs pamatlietā būtu piekritis vai piekritīs tam, ka iesniedzējtiesa apstrādā viņa personas datus.

40

Šajā ziņā ir jāatgādina, ka saskaņā ar pastāvīgo judikatūru uz jautājumiem par Savienības tiesībām attiecas nozīmīguma pieņēmums. Tiesa var atteikties lemt par valsts tiesas uzdotu prejudiciālo jautājumu tikai tad, ja ir acīmredzams, ka lūgtajai Savienības tiesību interpretācijai nav nekāda sakara ar pamatlietas apstākļiem vai tās priekšmetu, ja problēmai ir hipotētisks raksturs vai arī ja Tiesai nav zināmi faktiskie un tiesību apstākļi, kas vajadzīgi, lai sniegtu lietderīgu atbildi uz tai uzdotajiem jautājumiem. Turklāt LESD 267. pantā noteiktās procedūras ietvaros, kuras pamatā ir funkciju sadale starp valsts tiesām un Tiesu, tikai valsts tiesas kompetencē ir konstatēt un novērtēt pamatlietas faktus (citustarp skat. spriedumu, 2022. gada 24. marts, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, 20. un 21. punkts, kā arī tajos minētā judikatūra).

41

Kā skaidri izriet no LESD 267. panta otrās daļas, ciešas sadarbības starp valstu tiesām un Tiesu ietvaros, kuras pamatā ir funkciju sadale starp tām, iesniedzējtiesai ir jāizlemj, kurā tiesvedības stadijā šai tiesai ir jāuzdod prejudiciāls jautājums Tiesai (spriedums, 2008. gada 17. jūlijs, Coleman, C‑303/06, EU:C:2008:415, 29. punkts un tajā minētā judikatūra).

42

Šajā ziņā Tiesa it īpaši jau ir nospriedusi, ka apstāklis, ka par faktiem vēl nav notikusi sacīkstes procedūra pierādījumu iegūšanai, pats par sevi prejudiciālu jautājumu nepadara nepieņemamu (šajā nozīmē skat. spriedumu, 2014. gada 11. septembris, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, 19. punkts un tajā minētā judikatūra).

43

Šajā gadījumā, kaut arī no lūguma sniegt prejudiciālu nolēmumu izriet, ka iesniedzējtiesa nav pieņēmusi galīgo nolēmumu par to, vai Federālā pārvalde nav izpildījusi pienākumus, kas tai ir noteikti VDAR 5. panta 2. punktā, lasot to kopsakarā ar šīs regulas 26. un 30. pantu, jo par šo pamatlietas aspektu, kā norādīts šajā lūgumā, vēl notiek uz sacīkstes principu balstītas debates, tomēr šī tiesa ir konstatējusi, ka Federālā pārvalde kā personas datu pārzinis nav iesniegusi nedz šajās divās pēdējās minētajās tiesību normās paredzēto vienošanos par datu kopīgu apstrādi, nedz apstrādes darbību reģistru, neraugoties uz to, ka tai tas tika lūgts.

44

Turklāt no lūguma sniegt prejudiciālu nolēmumu izriet, ka minētā tiesa, kurai vienīgajai ir pienākums konstatēt un izvērtēt faktus, uzskata, ka apstrīdētais lēmums tika pieņemts, pamatojoties tikai uz Federālās pārvaldes sagatavotajiem elektroniskajiem lietas materiāliem, kuru reģistrācija un nosūtīšana varētu būt pretrunā minētajā regulā paredzētajiem noteikumiem, un līdz ar to šis lēmums varētu būt jāatceļ šī iemesla dēļ.

45

Visbeidzot, attiecībā uz prasītāja pamatlietā piekrišanu viņa personas datu izmantošanai tiesvedībā pietiek norādīt, ka trešā prejudiciālā jautājuma mērķis tieši ir noskaidrot, vai šajā gadījumā ir nepieciešama šāda piekrišana, lai iesniedzējtiesai būtu atļauts izmantot šos datus.

46

Šādos apstākļos, tā kā tādējādi Tiesai ir iesniegts lūgums interpretēt Savienības tiesības, kas acīmredzami nav nesaistīts ar pamatlietas faktisko situāciju vai priekšmetu, un tā kā tās rīcībā ir informācija, kas ir nepieciešama, lai lietderīgi atbildētu uz tai uzdotajiem jautājumiem par VDAR ietekmi uz pamatlietu, tai uz tiem ir jāatbild, pašai neapšaubot pieņēmumu par faktiem, uz kuru pamatojas iesniedzējtiesa, – pieņēmumu, kuru iesniedzējtiesai vajadzības gadījumā būs jāpārbauda vēlāk (pēc analoģijas skat. spriedumu, 2008. gada 17. jūlijs, Coleman, C‑303/06, EU:C:2008:415, 31. punkts un tajā minētā judikatūra).

47

Līdz ar to ir jāuzskata, ka šis lūgums sniegt prejudiciālu nolēmumu ir pieņemams, un uz iesniedzējtiesas uzdotajiem jautājumiem jāatbild, ņemot vērā, ka tai tomēr ir jāpārbauda, vai Federālā pārvalde ir izpildījusi VDAR 26. un 30. pantā paredzētos pienākumus.

48

Ar pirmo jautājumu iesniedzējtiesa būtībā jautā, vai VDAR 17. panta 1. punkta d) apakšpunkts un 18. panta 1. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tas, ka pārzinis nav izpildījis šīs regulas 26. un 30. pantā paredzētos pienākumus attiecīgi par tādas vienošanās noslēgšanu, kas nosaka kopīgu atbildību par apstrādi un apstrādes darbību reģistra uzturēšanu, ir nelikumīga apstrāde, kas datu subjektam piešķir tiesības uz dzēšanu vai apstrādes ierobežošanu, jo šāda pienākumu neizpilde nozīmē, ka pārzinis pārkāpj minētās regulas 5. panta 2. punktā noteikto “atbildības” principu.

49

Saskaņā ar Tiesas pastāvīgo judikatūru, interpretējot Savienības tiesību normu, ir jāņem vērā ne tikai tās teksts, bet arī tās konteksts un tiesiskā regulējuma, kurā šī norma ir ietverta, mērķi (šajā nozīmē skat. spriedumu, 2023. gada 12. janvāris, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 32. punkts un tajā minētā judikatūra).

50

Pirmkārt, par attiecīgo Savienības tiesību normu formulējumu ir jāatgādina, ka saskaņā ar VDAR 17. panta 1. punkta d) apakšpunktu datu subjektam ir tiesības no pārziņa bez nepamatotas kavēšanās panākt, lai pārzinis dzēstu ar viņu saistītos personas datus, un pārzinim ir pienākums bez nepamatotas kavēšanās dzēst šos datus, ja tie ir “apstrādāti nelikumīgi”.

51

Tāpat saskaņā ar VDAR 18. panta 1. punkta b) apakšpunktu datu subjektam, ja tas iebilst pret šādu datu dzēšanu un tā vietā pieprasa to izmantošanas ierobežošanu, ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja “apstrāde ir nelikumīga”.

52

Divos iepriekšējos punktos minētās tiesību normas ir jālasa kopā ar šīs regulas 5. panta 1. punktu, saskaņā ar kuru personas datu apstrādei ir jāatbilst vairākiem šajā tiesību normā ietvertajiem principiem, tostarp minētās regulas 5. panta 1. punkta a) apakšpunktam, kurā ir precizēts, ka personas dati ir jāapstrādā “likumīgi, godprātīgi un datu subjektam pārredzamā veidā”.

53

Saskaņā ar VDAR 5. panta 2. punktu pārzinis saskaņā ar šajā tiesību normā noteikto “pārredzamības” principu ir atbildīgs par šī panta 1. punkta ievērošanu un tam ir jāspēj pierādīt, ka tas ievēro katru no šajā 1. punktā noteiktajiem principiem, tādējādi uzliekot tam pienākumu sniegt šādus pierādījumus (šajā nozīmē skat. spriedumu, 2022. gada 24. februāris, Valsts ieņēmumu dienests (Personas datu apstrāde nodokļu administrēšanas vajadzībām), C‑175/20, EU:C:2022:124, 77., 78. un 81. punkts).

54

No tā izriet, ka, piemērojot minētās regulas 5. panta 2. punktu, lasot to kopā ar šī panta 1. punkta a) apakšpunktu, pārzinim ir jāpārliecinās, ka viņa veiktā datu apstrāde ir “likumīga”.

55

Jāatzīmē, ka tieši par apstrādes likumību ir runa VDAR 6. pantā – kā tas izriet no tā nosaukuma –, kurā ir noteikts, ka apstrāde ir likumīga tikai tad, ja ir izpildīts vismaz viens no minētā panta 1. punkta pirmās daļas a) līdz f) apakšpunktā ietvertajiem nosacījumiem, proti, kā tas secināms arī no minētās regulas 40. apsvēruma, vai nu datu subjekts ir piekritis savu personas datu apstrādei vienā vai vairākos konkrētos nolūkos, vai arī apstrāde ir nepieciešama vienam no minētajiem nolūkiem, kas attiecīgi attiecas uz līguma, kura līgumslēdzēja puse ir datu subjekts, izpildi vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas, pārzinim uzlikta juridiska pienākuma izpildi, datu subjekta vai citas fiziskas personas vitāli svarīgu interešu aizsardzību, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, kā arī pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm.

56

Šis to gadījumu saraksts, kuros personas datu apstrādi var uzskatīt par likumīgu, ir izsmeļošs un ierobežojošs, tāpēc, lai apstrādi varētu uzskatīt par likumīgu, tai ir jāietilpst kādā no VDAR 6. panta 1. punkta pirmajā daļā paredzētajiem gadījumiem (šajā nozīmē skat. spriedumus, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 99. punkts un tajā minētā judikatūra, kā arī 2022. gada 8. decembris, Inspektor v Inspektorata kam Visshia sadeben savet (Personas datu apstrādes nolūki – Noziedzīga nodarījuma izmeklēšana), C‑180/21, EU:C:2022:967, 83. punkts).

57

Tādējādi saskaņā ar Tiesas judikatūru jebkurai personas datu apstrādei ir jāatbilst šīs regulas 5. panta 1. punktā noteiktajiem datu apstrādes principiem un minētās regulas 6. pantā uzskaitītajiem apstrādes likumības nosacījumiem (citustarp skat. spriedumus, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 208. punkts; 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 96. punkts, kā arī 2022. gada 20. oktobris, Digi, C‑77/21, EU:C:2022:805, 49. un 56. punkts).

58

Turklāt, ciktāl VDAR 7.–11. panta, kas tāpat kā tās 5. un 6. pants ir ietverti šīs regulas II nodaļā, kura attiecas uz principiem, mērķis ir precizēt to pienākumu apjomu, kas pārzinim ir noteikti saskaņā ar minētās regulas 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punktu, personas datu apstrādē, lai tā būtu likumīga, kā tas izriet no Tiesas judikatūras, ir jāievēro arī šie citi minētās nodaļas noteikumi, kas būtībā attiecas uz piekrišanu, īpašu kategoriju sensitīviem personas datiem un personas datu apstrādi par sodāmību un pārkāpumiem (šajā nozīmē skat. spriedumus, 2019. gada 24. septembris, GC u.c. (Atsauču uz sensitīviem datiem atsaistīšana), C‑136/17, EU:C:2019:773, 72.–75. punkts, kā arī 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 100., 102. un 106. punkts).

59

Tomēr, tāpat kā to dara visas rakstveida apsvērumus iesniegušās valdības un Eiropas Komisija, ir jānorāda, ka VDAR 26. pantā paredzētais pārziņa pienākums noslēgt vienošanos, kurā noteikta kopīga atbildība par apstrādi, un šīs regulas 30. pantā paredzētais pienākums uzturēt apstrādes darbību reģistru nav viens no minētās regulas 6. panta 1. punkta pirmajā daļā paredzētajiem apstrādes darbības likumības pamatojumiem.

60

Turklāt atšķirībā no VDAR 7.–11. panta šīs regulas 26. un 30. panta mērķis nav precizēt minētās regulas 5. panta 1. punkta a) apakšpunktā un 6. panta 1. punktā paredzēto prasību tvērumu.

61

Tādējādi no paša VDAR 5. panta 1. punkta a) apakšpunkta un 6. panta 1. punkta pirmās daļas formulējuma izriet, ka pārziņa pieļauta šīs regulas 26. un 30. pantā paredzēto pienākumu neizpilde nav “nelikumīga apstrāde” minētās regulas 17. panta 1. punkta d) apakšpunkta un 18. panta 1. punkta b) apakšpunkta izpratnē, kas izrietot no tā, ka tas ir pārkāpis šīs pašas regulas 5. panta 2. punktā noteikto “atbildības” principu.

62

Otrkārt, šo interpretāciju apstiprina arī šo dažādo normu konteksts. Proti, no pašas VDAR struktūras un līdz ar to no tās loģikas skaidri izriet, ka tajā ir nošķirti, no vienas puses, “principi”, kas ir tās II nodaļas, kurā citustarp ietilpst šīs regulas 5. un 6. pants, priekšmets, un, no otras puses, “vispārīgie pienākumi”, kas ietverti minētās regulas IV nodaļas 1. iedaļā par datu pārziņiem, un starp tiem ir šīs pašas regulas 26. un 30. pantā paredzētie pienākumi.

63

Turklāt šis nošķīrums ir atspoguļots VDAR VIII nodaļā par sankcijām, šīs regulas 26. un 30. panta pārkāpumiem, no vienas puses, un tās 5. un 6. panta pārkāpumiem, no otras puses, par kuriem attiecīgi minētās regulas 83. panta 4. un 5. punktā ir paredzēti administratīvi naudas sodi, kas var sasniegt noteiktu summu, kura saskaņā ar attiecīgo punktu ir atkarīga no šo attiecīgo pārkāpumu smaguma pakāpes, ko ir atzinis Savienības likumdevējs.

64

Treškārt un visbeidzot, šī sprieduma 61. punktā izklāstīto VDAR gramatisko interpretāciju apstiprina šīs regulas mērķis, kas izriet no tās 1. panta, kā arī no tās 1. un 10. apsvēruma, proti, citastarp nodrošināt fizisko personu pamattiesību un pamatbrīvību augsta līmeņa aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi aizsardzību, kas nostiprinātas Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā un LESD 16. panta 1. punktā (šajā nozīmē skat. spriedumu, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 125. punkts un tajā minētā judikatūra).

65

Proti, vienošanās, kas nosaka kopīgu atbildību, piemērojot VDAR 26. pantu, vai apstrādes darbību reģistra šīs regulas 30. panta izpratnē neesamība pati par sevi nav pietiekama, lai pierādītu, ka ir pārkāptas pamattiesības uz personas datu aizsardzību. It īpaši, lai gan, kā izriet no tās 79. un 82. apsvēruma, skaidrs atbildības sadalījums starp kopīgajiem pārziņiem un apstrādes darbību reģistrs tik tiešām ir līdzekļi, lai nodrošinātu, ka šie pārziņi ievēro minētajā regulā paredzētās garantijas datu subjektu tiesību un brīvību aizsardzībai, tomēr šāda reģistra vai vienošanās neesamība pati par sevi nepierāda, ka šīs tiesības un brīvības ir tikušas pārkāptas.

66

No tā izriet, ka tas, ka pārzinis ir pārkāpis VDAR 26. un 30. pantu, nav “nelikumīga apstrāde” šīs regulas 17. panta 1. punkta d) apakšpunkta vai 18. panta 1. punkta b) apakšpunkta, lasot tos kopsakarā ar tās 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punkta pirmo daļu, izpratnē, kas datu subjektam piešķir tiesības uz datu dzēšanu vai apstrādes ierobežošanu.

67

Tādējādi, kā norādījušas visas valdības, kas iesniegušas rakstveida apsvērumus, un Komisija, šāds pārkāpums ir jānovērš, izmantojot citus VDAR paredzētos pasākumus, piemēram, uzraudzības iestādei izmantojot “korektīvās pilnvaras” šīs regulas 58. panta 2. punkta izpratnē, tostarp saskaņā ar šīs tiesību normas d) apakšpunktu uzdodot saskaņot apstrādes darbības [ar šo regulu], iesniedzot sūdzību uzraudzības iestādei saskaņā ar šīs regulas 77. panta 1. punktu vai saskaņā ar tās 82. pantu novēršot kaitējumu, ko pārzinis, iespējams, nodarījis.

68

Visbeidzot, ņemot vērā iesniedzējtiesas paustās bažas, vēl ir jāprecizē, ka apstāklis, ka šajā gadījumā administratīvā naudas soda uzlikšana saskaņā ar VDAR 58. panta 2. punkta i) apakšpunktu un 83. pantu esot izslēgta, jo valsts tiesībās šādu sodu Federālajai pārvaldei ir aizliegts piemērot, neliedz efektīvi piemērot šo regulu. Šajā ziņā pietiek norādīt, ka minētās regulas 83. panta 7. punktā dalībvalstīm ir skaidri sniegta iespēja paredzēt, vai un cik lielā mērā šādi naudas sodi var tikt uzlikti publiskām iestādēm vai struktūrām. Turklāt dažādie VDAR paredzētie alternatīvie pasākumi, kas atgādināti iepriekšējā punktā, ļauj nodrošināt šādu efektīvu piemērošanu.

69

Līdz ar to uz pirmo jautājumu ir jāatbild, ka VDAR 17. panta 1. punkta d) apakšpunkts un 18. panta 1. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tas, ka pārzinis nav izpildījis šīs regulas 26. un 30. pantā paredzētos pienākumus attiecīgi par tādas vienošanās noslēgšanu, kas nosaka kopīgu atbildību par apstrādi un apstrādes darbību reģistra uzturēšanu, nav nelikumīga apstrāde, kura datu subjektam piešķir tiesības uz dzēšanu vai apstrādes ierobežošanu, jo šāda pienākumu neizpilde pati par sevi nenozīmē, ka pārzinis ir pārkāpis “atbildības” principu, kas noteikts minētās regulas 5. panta 2. punktā, lasot to kopā ar šīs regulas 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punkta pirmo daļu.

70

Ņemot vērā uz pirmo jautājumu sniegto atbildi, uz otro jautājumu nav jāatbild.

71

Ar trešo jautājumu iesniedzējtiesa būtībā vaicā, vai Savienības tiesības ir jāinterpretē tādējādi, ka, ja personas datu pārzinis nav izpildījis VDAR 26. vai 30. pantā paredzētos pienākumus, šādu datu izmantošanas likumīgums valsts tiesā ir atkarīgs no datu subjekta piekrišanas.

72

Šajā ziņā ir jākonstatē, ka no paša šīs regulas 6. panta 1. punkta pirmās daļas formulējuma skaidri izriet, ka šīs daļas a) apakšpunktā minētā datu subjekta piekrišana ir tikai viens no apstrādes likumības pamatiem, savukārt šāda piekrišana nav nepieciešama citiem minētās daļas b)–f) apakšpunktā minētajiem likumības pamatiem, kuri būtībā attiecas uz apstrādes nepieciešamību noteiktos nolūkos (pēc analoģijas skat. spriedumu, 2019. gada 11. decembris, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, 41. punkts).

73

Ja tiesa īsteno kompetenci, kas tai ir piešķirta ar valsts tiesībām, personas datu apstrāde, kas šai tiesai ir jāveic, ir jāuzskata par nepieciešamu minētās regulas 6. panta 1. punkta pirmās daļas e) apakšpunktā minētajam mērķim, kas ir saistīts ar sabiedrības interesēs veicama uzdevuma izpildi vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu.

74

Tā kā, pirmkārt, lai personas datu apstrādi varētu uzskatīt par likumīgu, pietiek ar to, ka ir izpildīts viens no VDAR 6. panta 1. punktā paredzētajiem nosacījumiem, un, otrkārt, kā tas ir secināts šī sprieduma 61. punktā, šīs regulas 26. un 30. panta neievērošana apstrādi nepadara par nelikumīgu, tas, vai iesniedzējtiesa izmanto personas datus, kurus Federālā pārvalde ir apstrādājusi, nepildot šajos pēdējos minētajos pantos paredzētos pienākumus, nav atkarīgs no datu subjekta piekrišanas.

75

Līdz ar to uz trešo jautājumu ir jāatbild, ka Savienības tiesības ir jāinterpretē tādējādi, ka, ja personas datu pārzinis nav izpildījis VDAR 26. vai 30. pantā paredzētos pienākumus, šādu datu izmantošanas likumīgums valsts tiesā nav atkarīgs no datu subjekta piekrišanas.

76

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (piektā palāta) nospriež: